Plány nasazení Azure Active Directory B2C

Azure Active Directory B2C (Azure AD B2C) je řešení pro správu identit a přístupu, které usnadňuje integraci s vaší infrastrukturou. Následující doprovodné materiály vám pomůžou pochopit požadavky a dodržování předpisů v rámci nasazení Azure AD B2C.

Plánování nasazení Azure AD B2C

Požadavky

• Posouzení primárního důvodu vypnutí systémů
  • Podívejte se, co je Azure Active Directory B2C?
• V případě nové aplikace naplánujte návrh systému CIAM (Customer Identity Access Management).
  • Viz, Plánování a návrh
• Identifikace umístění zákazníků a vytvoření tenanta v odpovídajícím datacentru
  • Viz kurz : Vytvoření tenanta Azure Active Directory B2C
• Potvrďte typy aplikací a podporované technologie:
  • Přehled Microsoft Authentication Library (MSAL)
  • Vývoj s využitím opensourcových jazyků, architektur, databází a nástrojů v Azure
  • V případě back-endových služeb použijte tok přihlašovacích údajů klienta.
• Migrace zprostředkovatele identity (IDP):
  • Bezproblémová migrace
  • Přejděte na user-migration.
• Výběr protokolů
  • Pokud používáte Kerberos, Microsoft systém Windows NT LAN Manager (NTLM) a federaci webových služeb (WS-Fed), podívejte se na video, migraci aplikací a identit do Azure AD B2C.

Po migraci můžou vaše aplikace podporovat moderní protokoly identit, jako je Open Authorization (OAuth) 2.0 a OpenID Connect (OIDC).

Účastníci

Úspěch technologického projektu závisí na řízení očekávání, výsledků a zodpovědností.

• Identifikace architekta aplikace, technického manažera programu a vlastníka
• Vytvoření distribučního seznamu (DL) pro komunikaci s účtem Microsoft nebo technickými týmy
  • Pokládání otázek, získávání odpovědí a přijímání oznámení
• Identifikace partnera nebo prostředku mimo vaši organizaci, které vás podporují

Další informace: Zahrnutí správných zúčastněných stran

Komunikace

Komunikujte aktivně a pravidelně s uživateli o čekajících a aktuálních změnách. Informujte je o tom, jak se prostředí změní, kdy se změní, a poskytněte kontaktu pro podporu.

Časové osy

Pomozte nastavit realistická očekávání a vytvořit plány nepředvídaných událostí pro splnění klíčových milníků:

• Datum pilotního nasazení
• Datum spuštění
• Data, která ovlivňují doručení
• Závislosti

Implementace nasazení Azure AD B2C

• Nasazení aplikací a identit uživatelů – Nasazení klientské aplikace a migrace identit uživatelů
• Onboarding a dodávky klientské aplikace – onboarding klientské aplikace a otestování řešení
• Zabezpečení – vylepšení zabezpečení řešení identit
• Dodržování předpisů – Řešení zákonných požadavků
• Uživatelské prostředí – Povolení uživatelsky přívětivé služby

Nasazení ověřování a autorizace

• Než budou vaše aplikace pracovat s Azure AD B2C, zaregistrujte je v tenantovi, který spravujete.
  • Viz kurz : Vytvoření tenanta Azure Active Directory B2C
• K autorizaci použijte ukázkové cesty uživatelů rozhraní IEF (Identity Experience Framework).
  • Viz, Azure Active Directory B2C: Vlastní cesty uživatelů CIAM
• Použití řízení na základě zásad pro nativní cloudová prostředí
  • openpolicyagent.org Informace o agentovi OPA (Open Policy Agent)

Další informace najdete v souboru PDF pro Microsoft Identity a získejte zkušenosti s Azure AD B2C a kurzem pro vývojáře.

Kontrolní seznam pro osoby, oprávnění, delegování a hovory

• Identifikace osob, které mají přístup k vaší aplikaci
• Definování způsobu správy systémových oprávnění a nároků dnes a v budoucnu
• Ověřte, že máte úložiště oprávnění a jestli existují oprávnění k přidání do adresáře.
• Definování způsobu správy delegovaných správě
  • Například správa zákazníků vašich zákazníků
• Ověření, že vaše aplikace volá API Manager (APIM)
  • Před vydáním tokenu může být potřeba volat z zprostředkovatele identity.

Nasazení aplikací a identit uživatelů

Projekty Azure AD B2C začínají jednou nebo více klientskými aplikacemi.

• Nové prostředí Registrace aplikací pro Azure Active Directory B2C
  • Projděte si ukázky kódu B2C v Azure Active Directory pro implementaci.
• Nastavení cesty uživatele na základě vlastních toků uživatelů
  • Porovnání toků uživatelů a vlastních zásad
  • Přidání zprostředkovatele identity do tenanta Azure Active Directory B2C
  • Migrace uživatelů do Azure AD B2C
  • Azure Active Directory B2C: Vlastní cesty uživatelů CIAM pro pokročilé scénáře

Kontrolní seznam nasazení aplikací

• Aplikace zahrnuté v nasazení CIAM
• Používané aplikace
  • Například webové aplikace, rozhraní API, jednostráňové webové aplikace (SPA) nebo nativní mobilní aplikace
• Používané ověřování:
  • Například formuláře federované pomocí jazyka SAML (Security Assertion Markup Language) nebo federované pomocí OIDC
  • Pokud OIDC, potvrďte typ odpovědi: kód nebo id_token
• Určení, kde jsou hostované front-endové a back-endové aplikace: místní, cloud nebo hybridní cloud
• Potvrďte používané platformy nebo jazyky:
  • Například ASP.NET, Javu a Node.js
  • Viz rychlý start: Nastavení přihlášení k aplikaci ASP.NET pomocí Azure AD B2C
• Ověření, kde jsou uložené atributy uživatele
  • Například protokol LDAP (Lightweight Directory Access Protocol) nebo databáze

Kontrolní seznam pro nasazení identity uživatele

• Potvrďte počet uživatelů, kteří přistupují k aplikacím.
• Určete potřebné typy zprostředkovatele identity:
  • Například Facebook, místní účet a Active Directory Federation Services (AD FS) (AD FS)
  • Viz, Active Directory Federation Services (AD FS)
• V případě potřeby nastíněte schéma deklarací identity požadované z vaší aplikace, Azure AD B2C a zprostředkovatele identity.
  • Viz, ClaimsSchema
• Určení informací, které se mají shromáždit při přihlašování a registraci
  • Nastavení toku registrace a přihlášení v Azure Active Directory B2C

Onboarding a dodávky klientských aplikací

Pro onboarding aplikace použijte následující kontrolní seznam.

Oblast	Popis
Cílová skupina uživatelů aplikace	Vyberte si mezi koncovými zákazníky, obchodními zákazníky nebo digitální službou. Určete potřebu přihlášení zaměstnance.
Obchodní hodnota aplikace	Seznamte se s obchodní potřebou nebo cílem určit nejlepší řešení Azure AD B2C a integraci s jinými klientskými aplikacemi.
Vaše skupiny identit	Identity clusteru do skupin s požadavky, jako jsou B2C (business-to-consumer), B2B (business-to-business) business-to-employee (B2E) a business-to-machine (B2M) pro účty přihlašování zařízení IoT a služby.
Zprostředkovatel identity (IdP)	Viz výběr zprostředkovatele identity. Například mobilní aplikace C2C (customer-to-customer) používá jednoduchý proces přihlašování. B2C s digitálními službami má požadavky na dodržování předpisů. Zvažte přihlášení k e-mailu.
Regulační omezení	Určete potřebu vzdálených profilů nebo zásad ochrany osobních údajů.
Tok přihlášení a registrace	Během registrace potvrďte ověření e-mailu nebo ověření e-mailu. Postupy rezervace najdete v tématu Jak to funguje: Vícefaktorové ověřování Microsoft Entra. Podívejte se na video migrace uživatelů Azure AD B2C pomocí rozhraní Microsoft Graph API.
Aplikační a ověřovací protokol	Implementujte klientské aplikace, jako je webová aplikace, jednostránkové aplikace (SPA) nebo nativní. Ověřovací protokoly pro klientskou aplikaci a Azure AD B2C: OAuth, OIDC a SAML. Podívejte se na video Ochrana webových rozhraní API pomocí Microsoft Entra ID.
Migrace uživatelů	Ověřte, jestli budete migrovat uživatele do Azure AD B2C: Migrace za běhu (JIT) a hromadný import/export. Podívejte se na video strategie migrace uživatelů Azure AD B2C.

K doručení použijte následující kontrolní seznam.

Oblast	Popis
Informace o protokolu	Shromážděte základní cestu, zásady a adresu URL metadat obou variant. Zadejte atributy, jako je ukázkové přihlášení, ID klientské aplikace, tajné kódy a přesměrování.
Ukázky aplikací	Viz ukázky kódu Azure Active Directory B2C.
Testování průniku	Informujte provozní tým o penetračníchtestch Viz pravidla penetračního testování a penetračního testování zapojení.
Testování částí	Testování jednotek a generování tokenů Viz přihlašovací údaje vlastníka prostředku microsoftu a OAuth 2.0 Identity Platform. Pokud dosáhnete limitu tokenu Azure AD B2C, přečtěte si téma Azure AD B2C: Žádosti o podporu souborů. Znovu použijte tokeny, abyste snížili šetření vaší infrastruktury. Nastavte tok přihlašovacích údajů vlastníka prostředku v Azure Active Directory B2C. K ověřování uživatelů ve vašich aplikacích byste neměli používat tok ROPC.
Zátěžové testování	Přečtěte si o omezeních a omezeních služby Azure AD B2C. Vypočítejte očekávané ověřování a přihlašování uživatelů za měsíc. Posouzení doby trvání provozu s vysokým zatížením a obchodních důvodů: svátek, migrace a událost. Určete očekávané sazby ve špičce pro registraci, provoz a geografickou distribuci, například za sekundu.

Zabezpečení

K vylepšení zabezpečení aplikace použijte následující kontrolní seznam.

• Metoda ověřování, například vícefaktorové ověřování:
  • Vícefaktorové ověřování se doporučuje pro uživatele, kteří aktivují transakce s vysokou hodnotou nebo jiné rizikové události. Například bankovní, finanční a check-out procesy.
  • Podívejte se, jaké metody ověřování a ověřování jsou k dispozici v MICROSOFT Entra ID?
• Potvrzení použití mechanismů anti-botů
• Posouzení rizika pokusů o vytvoření podvodného účtu nebo přihlášení
  • Viz kurz: Konfigurace ochrany před podvody v Microsoft Dynamics 365 pomocí Azure Active Directory B2C
• Potvrzení potřebných podmíněných postojů v rámci přihlášení nebo registrace

Podmíněný přístup a ochrana Microsoft Entra ID

• Moderní bezpečnostní obvod se teď rozšiřuje nad rámec sítě organizace. Hraniční síť zahrnuje identitu uživatele a zařízení.
  • Podívejte se, co je podmíněný přístup?
• Vylepšení zabezpečení Azure AD B2C pomocí služby Microsoft Entra ID Protection
  • Viz, ochrana ID a podmíněný přístup v Azure AD B2C

Kompatibilita

Aby bylo možné vyhovět zákonným požadavkům a zvýšit zabezpečení back-endového systému, můžete použít virtuální sítě, omezení IP adres, firewall webových aplikací atd. Vezměte v úvahu následující požadavky:

• Vaše zákonné požadavky na dodržování předpisů
  • Například standard PCI DSS (Payment Card Industry Data Security Standard)
  • Další informace o Radě bezpečnostních standardů PCI najdete v pcisecuritystandards.org.
• Úložiště dat do samostatného úložiště databáze
  • Určení, jestli se tyto informace nedají zapsat do adresáře

Uživatelské prostředí

Následující kontrolní seznam vám pomůže definovat požadavky na uživatelské prostředí.

• Identifikace integrací pro rozšíření možností CIAM a vytváření bezproblémových prostředí pro koncové uživatele
  • Partneři nezávislých dodavatelů softwaru (ISV) Azure Active Directory B2C
• Použití snímků obrazovky a uživatelských scénářů k zobrazení prostředí koncového uživatele aplikace
  • Například snímky obrazovky s přihlášením, přihlášením, přihlášením a přihlášením (SUSI), úpravou profilu a resetováním hesla
• Vyhledejte rady předávané pomocí parametrů řetězce dotazu v řešení CIAM.
• Pokud chcete přizpůsobit uživatelské prostředí s vysokým využitím, zvažte použití front-endového vývojáře.
• V Azure AD B2C můžete přizpůsobit HTML a CSS.
  • Viz pokyny pro používání JavaScriptu
• Implementace vloženého prostředí pomocí podpory prvku iframe:
  • Viz prostředí integrované registrace nebo přihlašování
  • Pro jednostránka aplikace použijte druhou přihlašovací html stránku, která se načte do elementu <iframe> .

Monitorování auditování a protokolování

K monitorování, auditování a protokolování použijte následující kontrolní seznam.

• Monitorování
  • Monitorování Azure AD B2C s využitím Služby Azure Monitor
  • Podívejte se na video Monitorování a vytváření sestav Azure AD B2C pomocí služby Azure Monitor
• Auditování a protokolování
  • Přístup k protokolům auditu Azure AD B2C

Zdroje informací

• Registrace aplikace Microsoft Graph
• Správa Azure AD B2C pomocí Microsoft Graphu
• Nasazení vlastních zásad pomocí Azure Pipelines
• Správa vlastních zásad Azure AD B2C pomocí Azure PowerShellu

Další kroky

Doporučení a osvědčené postupy pro Azure Active Directory B2C